Il est temps de retirer SHA-1, ou Secure Hash Algorithm-1, déclare le National Institute of Standards and Technology (NIST) des États-Unis. Le NIST a fixé la date au 31 décembre 2030 pour supprimer la prise en charge de SHA-1 de tous les périphériques logiciels et matériels.
L’algorithme autrefois largement utilisé est désormais facile à déchiffrer, ce qui rend son utilisation dangereuse dans des contextes de sécurité. Le NIST a rendu SHA-1 obsolète en 2011 et interdit son utilisation lors de la création ou de la vérification de signatures numériques en 1.
"Nous recommandons à toute personne qui compte sur SHA-1 pour sa sécurité de migrer vers SHA-2 ou SHA-3 dès que possible", a déclaré Chris Celi, informaticien du NIST, dans un communiqué.
SHA-1 faisait partie des sept algorithmes de hachage initialement approuvés pour une utilisation dans les Federal Information Process Standards (FIPS) 180-4. La prochaine version de la norme gouvernementale, FIPS 180-5, sera définitive d'ici la fin de 2030 – et SHA-1 ne sera pas inclus dans cette version. Cela signifie qu’après 2030, le gouvernement fédéral ne sera plus autorisé à acheter des appareils ou des applications utilisant encore SHA-1.
Les développeurs doivent s'assurer que leurs applications n'utilisent aucun composant prenant en charge SHA-1 à ce moment-là. Même si cela peut sembler long pour effectuer les mises à jour, les développeurs doivent soumettre les applications pour être certifiées conformes aux exigences FIPS. Il est préférable d'être vérifié et recertifié plus tôt que plus tard, car il peut y avoir un retard dans la révision du code, a déclaré le NIST.
"En achevant leur transition avant le 31 décembre 2030, les parties prenantes – en particulier les fournisseurs de modules cryptographiques – peuvent contribuer à minimiser les retards potentiels dans le processus de validation", a déclaré le NIST.
Parallèlement à la mise à jour de FIPS, le NIST révisera Publication spéciale NIST (SP) 800-131A pour refléter le fait que SHA-1 a été retiré et publiera une stratégie de transition pour valider les modules et algorithmes cryptographiques.
SHA-1 est en voie de disparition depuis des années. Les principaux navigateurs Web ont cessé de prendre en charge les certifications numériques basées sur SHA-1 en 2017. Microsoft a supprimé SHA-1 de Windows Update en 2020. Mais il existe encore des applications héritées qui prennent en charge SHA-1.
Alors que le hachage est censé être unidirectionnel et irréversible, les attaquants ont pris des hachages SHA-1 de chaînes communes et les ont stockés dans des tables de recherche, ce qui rend trivial le lancement d'attaques basées sur un dictionnaire.
De plus, les attaques par collision – initialement décrites comme une attaque théorique en 2005 – sont devenues plus pratiques en 2017. Alors que les chaînes individuelles produisent la plupart du temps des hachages uniques, l'attaque par collision crée une situation dans laquelle deux messages différents génèrent la même valeur de hachage, permettant aux attaquants de utilisez une chaîne différente pour casser le hachage.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
